Naslaginformatie over de API voor waarschuwingsbeheer voor on-premises beheerconsoles

Dit artikel bevat de REST API's voor waarschuwingsbeheer die worden ondersteund voor Microsoft Defender voor on-premises IoT-beheerconsoles.

waarschuwingen (waarschuwingsgegevens ophalen)

Gebruik deze API om alle of gefilterde waarschuwingen op te halen uit een on-premises beheerconsole.

URI: /external/v1/alerts of /external/v2/alerts

GET

Aanvraag

Queryparameters:

Naam	Beschrijving	Voorbeeld	Vereist/optioneel
Staat	Alleen verwerkte of onverwerkte waarschuwingen ophalen. Ondersteunde waarden: - handled - unhandled Alle andere waarden worden genegeerd.	/api/v1/alerts?state=handled	Optioneel
fromTime	Ontvang waarschuwingen die zijn gemaakt vanaf een bepaald tijdstip, in milliseconden vanaf Epoch-tijd en in UTC-tijdzone.	/api/v1/alerts?fromTime=<epoch>	Optioneel
toTime	Ontvang waarschuwingen die alleen eerder op een bepaald tijdstip zijn gemaakt, in milliseconden vanaf Epoch-tijd en in UTC-tijdzone.	/api/v1/alerts?toTime=<epoch>	Optioneel
siteId	De site waarop de waarschuwing is gedetecteerd.	/api/v1/alerts?siteId=1	Optioneel
Zone	De zone waarop de waarschuwing is gedetecteerd.	/api/v1/alerts?zoneId=1	Optioneel
sensorId	De sensor waarop de waarschuwing is gedetecteerd.	/api/v1/alerts?sensorId=1	Optioneel

Notitie

Mogelijk hebt u de site- en zone-id niet. Als dit het geval is, voert u eerst een query uit op alle apparaten om de site- en zone-id op te halen. Zie Naslaginformatie over integratie-API's voor on-premises beheerconsoles (openbare preview) voor meer informatie.

Response

Type: JSON

Een lijst met waarschuwingen met de volgende velden:

Naam	Type	Nullable /Not nullable	Lijst met waarden
Id	Numeriek	Niet nullable	-
sensorId	Numeriek	Niet nullable	-
Zone	Numeriek	Niet nullable	-
time	Numeriek	Niet nullable	Milliseconden van epoch-tijd, in UTC-tijdzone
title	Tekenreeks	Niet nullable	-
bericht	Tekenreeks	Niet nullable	-
Ernst	Tekenreeks	Niet nullable	Warning, Minor, Majorof Critical
Engine	Tekenreeks	Niet nullable	Protocol Violation, Policy Violation, Malware, Anomalyof Operational
sourceDevice	Numeriek	Null-waarde toegestaan	Apparaat-ID
destinationDevice	Numeriek	Null-waarde toegestaan	Apparaat-ID
remediationSteps	Tekenreeks	Null-waarde toegestaan	Herstelstappen die worden weergegeven in de waarschuwing
additionalInformation	Aanvullende informatieobject	Null-waarde toegestaan	-
Behandeld	Booleaanse waarde, status van de waarschuwing	Niet nullable	true of false

Aanvullende informatievelden:

Naam	Type	Nullable /Not nullable	Lijst met waarden
beschrijving	Tekenreeks	Niet nullable	-
Informatie	JSON-matrix	Niet nullable	Tekenreeks

Toegevoegd voor V2:

Naam	Type	Nullable /Not nullable	Lijst met waarden
sourceDeviceAddress	Tekenreeks	Null-waarde toegestaan	IP- of MAC-adres
destinationDeviceAddress	Tekenreeks	Null-waarde toegestaan	IP- of MAC-adres
remediationSteps	JSON-matrix	Niet nullable	Tekenreeksen, herstelstappen die worden beschreven in waarschuwing
sensorName	Tekenreeks	Niet nullable	De naam van de sensor die is gedefinieerd door de gebruiker
Zonenaam	Tekenreeks	Niet nullable	Naam van de zone die is gekoppeld aan de sensor
siteName	Tekenreeks	Niet nullable	Naam van de locatie die is gekoppeld aan de sensor

Zie Naslaginformatie over sensor-API-versies voor meer informatie.

Voorbeeld van antwoord

[
    {
        "engine": "Operational",
        "handled": false,
        "title": "Traffic Detected on sensor Interface",
        "additionalInformation": null,
        "sourceDevice": 0,
        "zoneId": 1,
        "siteId": 1,
        "time": 1594808245000,
        "sensorId": 1,
        "message": "The sensor resumed detecting network traffic on ens224.",
        "destinationDevice": 0,
        "id": 1,
        "severity": "Warning"
    },
    {
        "engine": "Anomaly",
        "handled": false,
        "title": "Address Scan Detected",
        "additionalInformation": null,
        "sourceDevice": 4,
        "zoneId": 1,
        "siteId": 1,
        "time": 1594808260000,
        "sensorId": 1,
        "message": "Address scan detected.\nScanning address: 10.10.10.22\nScanned subnet: 10.11.0.0/16\nScanned addresses: 10.11.1.1, 10.11.20.1, 10.11.20.10, 10.11.20.100, 10.11.20.2, 10.11.20.3, 10.11.20.4, 10.11.20.5, 10.11.20.6, 10.11.20.7...\nIt is recommended to notify the security officer of the incident.",
        "destinationDevice": 0,
        "id": 2,
        "severity": "Critical"
    },
    {
        "engine": "Operational",
        "handled": false,
        "title": "Suspicion of Unresponsive MODBUS Device",
        "additionalInformation": null,
        "sourceDevice": 194,
        "zoneId": 1,
        "siteId": 1,
        "time": 1594808285000,
        "sensorId": 1,
        "message": "Outstation device 10.13.10.1 (Protocol Address 53) seems to be unresponsive to MODBUS requests.",
        "destinationDevice": 0,
        "id": 3,
        "severity": "Minor"
    }
]

cURL-opdracht

Type: GET

API:

curl -k -H "Authorization: <AUTH_TOKEN>" 'https://<>IP_ADDRESS>/external/v1/alerts?state=&zoneId=&fromTime=&toTime=&siteId=&sensor='

Voorbeeld:

curl -k -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" 'https://127.0.0.1/external/v1/alerts?state=unhandled&zoneId=1&fromTime=0&toTime=1594551777000&siteId=1&sensor=1'

UUID (Waarschuwingen beheren op basis van de UUID)

Gebruik deze API om opgegeven actie uit te voeren op een specifieke waarschuwing die is gedetecteerd door Defender for IoT.

U kunt deze API bijvoorbeeld gebruiken om een doorstuurregel te maken waarmee gegevens worden doorgestuurd naar QRadar. Zie Qradar integreren met Microsoft Defender voor IoT voor meer informatie.

URI: /external/v1/alerts/<UUID>

PUT

Aanvraag

Type: JSON

Queryparameters:

Naam	Beschrijving	Voorbeeld	Vereist/optioneel
UUID	Hiermee definieert u de universeel unieke id (UUID) voor de waarschuwing die u wilt verwerken of verwerken en leren.	/api/v1/alerts/7903F632-H7EJ-4N69-F40F-4B1E689G00Q0	Vereist

Hoofdtekstparameters

Naam	Beschrijving	Voorbeeld	Vereist/optioneel
action	Tekenreeks	Of handlehandleAndLearn	Vereist

Voorbeeld van aanvraag

{
    "action": "handle"
}

Response

Type: JSON

Matrix van JSON-objecten die apparaten vertegenwoordigen.

Antwoordvelden:

Naam	Type	Vereist/optioneel	Description
inhoud/fout	Tekenreeks	Vereist	Als de aanvraag is geslaagd, wordt de inhoudseigenschap weergegeven. Anders wordt de fouteigenschap weergegeven.

Mogelijke inhoudswaarden:

Statuscode	Bericht	Beschrijving
200	Aanvraag voor waarschuwingsupdate is voltooid.	De updateaanvraag is voltooid. Geen opmerkingen.
200	Waarschuwing is al verwerkt (ingang).	De waarschuwing is al verwerkt toen een handle-aanvraag voor de waarschuwing werd ontvangen. De waarschuwing blijft afgehandeld.
200	Waarschuwing is al verwerkt en geleerd (handleAndLearn).	De waarschuwing is al verwerkt en geleerd toen een aanvraag voor handleAndLearn werd ontvangen. De waarschuwing blijft in de status handledAndLearn .
200	Waarschuwing is al verwerkt (verwerkt). Handle and learn (handleAndLearn) is uitgevoerd op de waarschuwing.	De waarschuwing is al verwerkt toen een aanvraag voor handleAndLearn werd ontvangen. De waarschuwing wordt handleAndLearn.
200	Waarschuwing is al verwerkt en geleerd (handleAndLearn). Aanvraag voor genegeerde verwerking.	De waarschuwing was al handleAndLearn toen een aanvraag voor het verwerken van de waarschuwing werd ontvangen. De waarschuwing blijft handleAndLearn.
500	Ongeldige actie.	De actie die is verzonden, is geen geldige actie om op de waarschuwing uit te voeren.
500	Er is een onverwachte fout opgetreden.	Er is een onverwachte fout opgetreden. Neem contact op met de technische ondersteuning om het probleem op te lossen.
500	Kan de aanvraag niet uitvoeren omdat er geen waarschuwing is gevonden voor deze UUID.	De opgegeven waarschuwings-UUID is niet gevonden in het systeem.

Voorbeeld van antwoord: geslaagd

{
    "content": "Alert update request finished successfully"
}

Voorbeeld van antwoord: Mislukt

{
    "error": "Invalid action"
}

cURL-opdracht

Type: PUT

API's:

curl -k -X PUT -d '{"action": "<ACTION>"}' -H "Authorization: <AUTH_TOKEN>" https://<IP_ADDRESS>/external/v1/alerts/<UUID>

Voorbeeld:

curl -k -X PUT -d '{"action": "handle"}' -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" https://127.0.0.1/external/v1/alerts/1-1594550943000

maintenanceWindow (uitsluitingen voor waarschuwingen maken)

Beheert onderhoudsvensters, waaronder geen waarschuwingen worden verzonden. Gebruik deze API voor het definiëren en bijwerken van stop- en starttijden, apparaten of subnetten die moeten worden uitgesloten bij het activeren van waarschuwingen, of het definiëren en bijwerken van Defender for IoT-engines die moeten worden uitgesloten.

Tijdens een onderhoudsvenster wilt u bijvoorbeeld de levering van waarschuwingen voor alle waarschuwingen stoppen, met uitzondering van malwarewaarschuwingen op kritieke apparaten.

De onderhoudsvensters die met de maintenanceWindow API worden gedefinieerd, worden in het venster Uitsluitingen van waarschuwingen van de on-premises beheerconsole weergegeven als een uitsluitingsregel met het kenmerk Alleen-lezen, met de naam met de volgende syntaxis: Maintenance-{token name}-{ticket ID}.

Belangrijk

Deze API wordt alleen ondersteund voor onderhoudsdoeleinden en voor een beperkte periode en is niet bedoeld om te worden gebruikt in plaats van regels voor het uitsluiten van waarschuwingen. Gebruik deze API alleen voor eenmalige, tijdelijke onderhoudsbewerkingen.

URI: /external/v1/maintenanceWindow

POST

Hiermee maakt u een nieuw onderhoudsvenster.

Aanvraag

Hoofdtekstparameters:

Naam	Beschrijving	Voorbeeld	Vereist/optioneel
ticketId	Tekenreeks. Definieert de onderhoudsticket-id in de systemen van de gebruiker. Zorg ervoor dat de ticket-id niet is gekoppeld aan een bestaand geopend venster.	2987345p98234	Vereist
Ttl	Positief geheel getal. Definieert de TTL (time to live), de duur van het onderhoudsvenster, in minuten. Nadat de gedefinieerde periode is voltooid, is het onderhoudsvenster voorbij en gedraagt het systeem zich weer normaal.	180	Vereist
Engines	JSON-matrix met tekenreeksen. Definieert van welke engine waarschuwingen tijdens het onderhoudsvenster moeten worden onderdrukt. Mogelijke waarden: - ANOMALY - MALWARE - OPERATIONAL - POLICY_VIOLATION - PROTOCOL_VIOLATION	ANOMALY,OPERATIONAL	Optioneel
sensorIds	JSON-matrix met tekenreeksen. Hiermee definieert u vanaf welke sensoren waarschuwingen tijdens het onderhoudsvenster moeten worden onderdrukt. U kunt deze sensor-id's ophalen uit de API voor apparaten (OT-sensorapparaten beheren).	1,35,63	Optioneel
Subnetten	JSON-matrix met tekenreeksen. Definieert de subnetten voor het onderdrukken van waarschuwingen tijdens het onderhoudsvenster. Definieer elk subnet in een CIDR-notatie.	192.168.0.0/16,138.136.80.0/14,112.138.10.0/8	Optioneel

Response

Statuscode	Bericht	Beschrijving
201 (gemaakt)	-	De actie is voltooid.
400 (ongeldige aanvraag)	Geen TicketId	Er ontbreekt een waarde in de ticketId API-aanvraag.
400 (ongeldige aanvraag)	Ongeldige TTL	API-aanvraag bevat een niet-positieve of niet-numerieke TTL-waarde.
400 (ongeldige aanvraag)	Kan aanvraag niet parseren.	Probleem bij het parseren van de hoofdtekst, zoals onjuiste parameters of ongeldige waarden.
400 (ongeldige aanvraag)	Er bestaat al een onderhoudsvenster met dezelfde parameters.	Wordt weergegeven wanneer er al een bestaand onderhoudsvenster bestaat met dezelfde details.
404 (niet gevonden)	Onbekende sensor-id	Een van de sensoren die in de aanvraag worden vermeld, bestaat niet.
409 (Conflict)	Ticket-id heeft al een geopend venster.	De ticket-id is gekoppeld aan een ander geopend onderhoudsvenster.
500 (interne serverfout)	-	Eventuele andere onverwachte fouten.

cURL-opdracht

Type: POST

API:

curl -k -X POST -d '{"ticketId": "<TICKET_ID>",ttl": <TIME_TO_LIVE>,"engines": [<ENGINE1, ENGINE2...ENGINEn>],"sensorIds": [<SENSOR_ID1, SENSOR_ID2...SENSOR_IDn>],"subnets": [<SUBNET1, SUBNET2....SUBNETn>]}' -H "Authorization: <AUTH_TOKEN>" https://<IP address>/external/v1/maintenanceWindow

Voorbeeld:

curl -k -X POST -d '{"ticketId": "a5fe99c-d914-4bda-9332-307384fe40bf","ttl": "20","engines": ["ANOMALY"],"sensorIds": ["5","3"],"subnets": ["10.0.0.0/16"]}' -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" https://127.0.0.1/external/v1/maintenanceWindow

DELETE

Sluit een bestaand onderhoudsvenster.

Aanvraag

Queryparameters:

Naam	Beschrijving	Voorbeeld	Vereist/optioneel
ticketId	Definieert de onderhoudsticket-id in de systemen van de gebruiker. Zorg ervoor dat de ticket-id is gekoppeld aan een bestaand geopend venster.	2987345p98234	Vereist

Response

Foutcodes:

Code	Bericht	Beschrijving
200 (OK)	-	De actie is voltooid.
400 (ongeldige aanvraag)	Geen TicketId	De parameter ticketId ontbreekt in de aanvraag.
404 (niet gevonden):	Kan het onderhoudsvenster niet vinden.	De ticket-id is niet gekoppeld aan een geopend onderhoudsvenster.
500 (interne serverfout)	-	Eventuele andere onverwachte fouten.

cURL-opdracht

Type: VERWIJDEREN

API:

curl -k -X DELETE -d '{"ticketId": "<TICKET_ID>"}' -H "Authorization: <AUTH_TOKEN>" https://<IP address>/external/v1/maintenanceWindow

Voorbeeld:

curl -k -X DELETE -d '{"ticketId": "a5fe99c-d914-4bda-9332-307384fe40bf"}' -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" https://127.0.0.1/external/v1/maintenanceWindow

GET

Haal een logboek op van alle acties voor openen (POST), sluiten (DELETE) en bijwerken (PUT) die met deze API zijn uitgevoerd voor het afhandelen van onderhoudsvensters. T

Aanvraag

Queryparameters:

Naam	Beschrijving	Voorbeeld	Vereist/optioneel
Fromdate	Filtert de logboeken vanaf de vooraf gedefinieerde datum en hoger. De indeling is YYYY-MM-DD.	2022-08-10	Optioneel
Todate	Filtert de logboeken tot de vooraf gedefinieerde datum. De indeling is YYYY-MM-DD.	2022-08-10	Optioneel
ticketId	Filtert de logboeken met betrekking tot een specifieke ticket-id.	9a5fe99c-d914-4bda-9332-307384fe40bf	Optioneel
tokenName	Filtert de logboeken met betrekking tot een specifieke tokennaam.	kwartaal-sanity-venster	Optioneel

Foutcodes:

Code	Bericht	Beschrijving
200	OK	De actie is voltooid.
204:	Geen inhoud	Er zijn geen gegevens om weer te geven.
400	Onjuiste aanvraag	De datumnotatie is onjuist.
500	Interne serverfout	Eventuele andere onverwachte fouten.

Response

Type: JSON

Matrix van JSON-objecten die onderhoudsvensterbewerkingen vertegenwoordigen.

Antwoordstructuur:

Naam	Type	Nullable /Not nullable	Lijst met waarden
id	Lang geheel getal	Niet nullable	Een interne id voor het huidige logboek
datumTijd	Tekenreeks	Niet nullable	Het tijdstip waarop de activiteit heeft plaatsgevonden, bijvoorbeeld: 2022-04-23T18:25:43.511Z
ticketId	Tekenreeks	Niet nullable	De id van het onderhoudsvenster. Bijvoorbeeld: 9a5fe99c-d914-4bda-9332-307384fe40bf
tokenName	Tekenreeks	Niet nullable	De naam van het token van het onderhoudsvenster. Bijvoorbeeld: quarterly-sanity-window
Engines	Matrix van tekenreeksen	Null-waarde toegestaan	De motoren waarop het onderhoudsvenster van toepassing is, zoals opgegeven tijdens het maken van het onderhoudsvenster: Protocol Violation, Policy Violation, Malware, Anomaly, of Operational
sensorIds	Matrix van tekenreeks	Null-waarde toegestaan	De sensoren waarop het onderhoudsvenster van toepassing is, zoals opgegeven tijdens het maken van onderhoudsvensters.
Subnetten	Matrix van tekenreeks	Null-waarde toegestaan	De subnetten waarop het onderhoudsvenster van toepassing is, zoals opgegeven tijdens het maken van het onderhoudsvenster.
Ttl	Numeriek	Null-waarde toegestaan	De TTL (Time to Live) van het onderhoudsvenster, zoals opgegeven tijdens het maken of bijwerken van onderhoudsvensters.
operationType	Tekenreeks	Niet nullable	Een van de volgende waarden: OPEN, UPDATEen CLOSE

cURL-opdracht

Type: GET

API:

curl -k -H "Authorization: <AUTH_TOKEN>" 'https://<IP_ADDRESS>/external/v1/maintenanceWindow?fromDate=&toDate=&ticketId=&tokenName='

Voorbeeld:

curl -k -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" 'https://127.0.0.1/external/v1/maintenanceWindow?fromDate=2020-01-01&toDate=2020-07-14&ticketId=a5fe99c-d914-4bda-9332-307384fe40bf&tokenName=a'

PUT

Hiermee kunt u de duur van het onderhoudsvenster bijwerken nadat u het onderhoudsproces hebt gestart door de ttl parameter te wijzigen. De nieuwe duurdefinitie overschrijft de vorige definitie.

Deze methode is handig als u een langere duur wilt instellen dan de momenteel geconfigureerde duur. Als u bijvoorbeeld oorspronkelijk 180 minuten hebt gedefinieerd, er 90 minuten zijn verstreken en u nog eens 30 minuten wilt toevoegen, werkt u de ttl naar minuut bij om het aantal duur opnieuw in te 120 stellen.

Aanvraag

Queryparameters:

Naam	Beschrijving	Voorbeeld	Vereist/optioneel
ticketId	Tekenreeks. Definieert de onderhoudsticket-id in de systemen van de gebruiker.	2987345p98234	Vereist
Ttl	Positief geheel getal. Hiermee definieert u de duur van het venster in minuten.	210	Vereist

Response

Foutcodes:

Code	Bericht	Beschrijving
200 (OK)	-	De actie is voltooid.
400 (ongeldige aanvraag)	Geen TicketId	Er ontbreekt een waarde in de ticketId aanvraag.
400 (ongeldige aanvraag)	Ongeldige TTL	De gedefinieerde TTL is niet numeriek of geen positief geheel getal.
400 (ongeldige aanvraag)	Kan aanvraag niet parseren	In de aanvraag ontbreekt een ttl parameterwaarde.
404 (niet gevonden)	Onderhoudsvenster niet gevonden	De ticket-id is niet gekoppeld aan een geopend onderhoudsvenster.
500 (interne serverfout)	-	Eventuele andere onverwachte fouten.

cURL-opdracht

Type: PUT

API:

curl -k -X PUT -d '{"ticketId": "<TICKET_ID>",ttl": "<TIME_TO_LIVE>"}' -H "Authorization: <AUTH_TOKEN>" https://<IP address>/external/v1/maintenanceWindow

Voorbeeld:

curl -k -X PUT -d '{"ticketId": "a5fe99c-d914-4bda-9332-307384fe40bf","ttl": "20"}' -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" https://127.0.0.1/external/v1/maintenanceWindow

pcap (PCAP-waarschuwing aanvragen)

Gebruik deze API om een PCAP-bestand aan te vragen dat is gerelateerd aan een waarschuwing.

URI: /external/v2/alerts/

GET

Aanvraag

Queryparameters:

Naam	Beschrijving	Voorbeeld	Vereist/optioneel
id	Waarschuwings-id van de on-premises beheerconsole	/external/v2/alerts/pcap/<id>	Vereist

Response

Type: JSON

Berichttekenreeks met de details van de bewerkingsstatus:

Statuscode	Bericht	Beschrijving
200 (OK)	-	JSON-object met gegevens over het aangevraagde PCAP-bestand. Zie Gegevensvelden voor meer informatie.
500 (interne serverfout)	Waarschuwing niet gevonden	De opgegeven waarschuwings-id is niet gevonden in de on-premises beheerconsole.
500 (interne serverfout)	Fout bij ophalen van token voor xsense-id <number>	Er is een fout opgetreden bij het ophalen van het token van de sensor voor de opgegeven sensor-id
500 (interne serverfout)	-	Eventuele andere onverwachte fouten.

Gegevensvelden

Naam	Type	Nullable /Not nullable	Lijst met waarden
id	Numeriek	Niet nullable	De waarschuwings-id van de on-premises beheerconsole
xsenseId	Numeriek	Niet nullable	De sensor-id
xsenseAlertId	Numeriek	Niet nullable	De waarschuwings-id van de sensorconsole
downloadUrl	Tekenreeks	Niet nullable	De URL die wordt gebruikt om het PCAP-bestand te downloaden
token	Tekenreeks	Niet nullable	Het token van de sensor, dat moet worden gebruikt bij het downloaden van het PCAP-bestand

Voorbeeld van antwoord: Geslaagd

{
  "downloadUrl": "https://10.1.0.2/api/v2/alerts/pcap/1",
  "xsenseId": 1,
  "token": "d2791f58-2a88-34fd-ae5c-2651fe30a63c",
  "id": 1,
  "xsenseAlertId": 1
}

Voorbeeld van antwoord: Fout

{
  "error": "alert not found"
}

cURL-opdracht

Type: GET

API's

curl -k -H "Authorization: <AUTH_TOKEN>" 'https://<IP_ADDRESS>/external/v2/alerts/pcap/<ID>'

* Voorbeeld:

curl -k -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" 'https://10.1.0.1/external/v2/alerts/pcap/1'

Volgende stappen

Zie het overzicht naslaginformatie over Defender for IoT API voor meer informatie.